Ca și dezvoltatori ai Comunității DPO din România ne propunem ca în 2020 să venim în ajutorul tuturor celor care doresc să respecte și aplice corect Regulamentul GDPR prin abordarea a 12 subiecte importante unde vom oferii îndrumări, documente și sfaturi.

Primul dintre aceste subiect este cel al Responsabilului cu Protecția Datelor.

În acest sens ne-am propus să dezbatem principalele puncte de interes care privește această funcție și particularitățile pe care le-am întâlnit în România:

Funcția de responsabil cu protecția datelor sau DPO a fost introdusă de GDPR și este  una dintre noutățile regulamentului față de fosta directivă privind protecția datelor.

În România ”dpo” s-a tradus și împământenit ca ”responsabil cu protecția datelor”. Din punctul nostru de vedere este o traducere inexactă. Cuvântul „responsabil” duce cu gândul la persoana care este însărcinată cu implementarea regulamentului, pe când această responsabilitate este a operatorului, respectiv a managementului. Operatorul de date cu caracter personal poate să decidă ca și DPO-ul să aibă un rol și să fie implicat în implementarea Regulamentului GDPR. Conform gdpr, dpo-ul este cel care veghează la respectarea protecției datelor cu caracter personal și propune măsuri în vederea alinierii.

Responsabilitățile și atribuțiile principale ale DPO-ului conform GDPR

În România, din păcate, pozitia responsabilului cu protecția datelor nu este una foarte clară. Pe de o parte primește responsabilități și sarcini din partea managementului operatorilor și pe de altă parte are responsabilități specifice și se bucură de independență prevazută de gdpr. Regulamentul European prevede următoarele sarcini:

  1. facilitează implementarea politicilor și procedurilor interne în domeniul protecției datelor, precum și instruirea angajaților cu privire la responsabilitățile ce le revin;
  2. consilierea personalului și a echipei manageriale în gestionarea incidentelor de securitate a datelor cu caracter personal (ex. abordarea riscurilor de securitate digitală).
  3. monitorizarea permanentă a proceselor de prelucrare a datelor desfășurate de operator, identificarea zonelor de îmbunătățire și oferirea de suport în implementarea modificărilor necesare pentru a asigura respectarea celor mai înalte standarde de bune practici în domeniul protecției datelor.
  4. analiza solicitărilor venite din partea persoanelor vizate în temeiul RGPD (dreptul de acces, dreptul de a fi uitat, dreptul la rectificarea datelor etc.) și suport în formularea de răspuns.
  5. instruirea personalului și a echipei manageriale privind noutățile legislative și bunele practici în domeniul protecției datelor, potrivit specificului activității Operatorului.
  6. elaborarea de puncte vedere pe probleme specifice protecției datelor cu caracter personal
  7. cooperarea cu autoritatea de control – „Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal

Obligativitatea desemnării unui DPO

Primul pas pe care un operator trebuie sa il faca este sa verifice daca se afla intr-o situatie care ii impune desemnarea si notificarea unui responsabil cu protectia datelor. Din acest punct de vedere Regulamentul General prevede trei situatii in care este obligatorie desemnarea unui DPO:

  • reprezentați o autoritate sau un organism public, cu excepția instanțelor care acționează în exerciţiul funcţiei lor jurisdicţionale;
  • sunteți o companie care desfășoară ca activități principale operațiuni de prelucrare, care, prin natura lor, domeniul de aplicare și/sau scopurile lor, necesită o monitorizare periodică și sistematică a persoanelor vizate pe scară largă ;
  • sunteți o companie care desfășoară activități principale care constau în prelucrarea pe scară largă a unor categorii speciale de date (originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenenţa la sindicate şi prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viaţa sexuală sau orientarea sexuală ale unei persoane fizice) sau a unor date cu caracter personal privind condamnări penale și infracțiuni;

 

Decizia de desemnare a responsabilului cu protecția datelor

În cazul autorităților publice, numirea în funcţiile publice pentru care se organizează concurs în condiţiile Legii nr. 188/1999, art. 58 alin. (1) lit. c) (organizat de către autorităţi şi instituţii publice, cu avizul Agenţiei Naţionale a Funcţionarilor Publici, pentru ocuparea funcţiilor publice de execuţie generale şi specifice) se face prin actul administrativ (decizie) emis de conducătorii autorităţilor şi instituţiilor publice din administraţia publică centrală şi locală care au organizat concursul. Conform art. 62 alin. (4-7) din Legea nr. 188/1999, actul administrativ de numire (decizia) are formă scrisă şi trebuie să conţină temeiul legal al numirii, numele funcţionarului public, denumirea funcţiei publice, data de la care urmează să exercite funcţia publică, drepturile salariale, precum şi locul de desfăşurare a activităţii.

În cazul companiilor private, recomandarea este să existe cel puțin avizul directorului adjunct sau, optim, al directorului general privind adoptarea deciziei de angajare pe postul de DPO, deoarece aceasta semnifică conștientizarea managementului companiei asupra importanței și rolului DPO în cadrul companiei.

Decizia de desemnare a responsabilul cu protecția datelor trebuie să conțină un număr de înregistrare, datele de identificare ale persoanei juridice, temeiul legal pentru desemnarea responsabilului, numele persoanei desemnate.

Aceasta se redactează în 2 exemplare.

Mai jos aveți un exemplu de Decizie desemnare DPO în format editabil. Vă rog să rețineți că pentru a putea avea acces la documente este nevoie să fiți înregistrați și logați în Comunitatea DPO.

Pentru a descărca un model de ”Decizia de desemnare a dpo-ului” este nevoie să vă înscrieți aici GRATUIT în Comunitatea DPO.

Model Decizie desemnare DPO:  https://gdprcomplet.ro/documente-sectiunea-dpo/ ‎

Notificare responsabilului cu protecția datelor la ANSPDCP

După desemnarea unui responsabil cu protecția datelor, operatorul are obligația de a notifica ANSPDCP cu privire la acest aspect. Recomandarea noastră este ca datele de contact are DPO-ului să fie unele generice și special atribuite acestei funcții, de ex: dpo@operator.ro. Astfel, în eventualitatea schimbării persoanei desemnate, să nu mai fie necesară modificarea acestora pe site, în documentele companiei / instituției, etc.

Notificarea responsabilului cu protecția datelor se face pe site-ul Autorității, la linkul: https://www.dataprotection.ro/formulare/formularRpd.do?action=view_action&newFormular=true.

Pentru a avea dovada notificării, vă rugăm sa faceți o captură de ecran (printscreen) a mesajului de confirmare.

În cazul în care doriți să schimbați persoana notificată, acest lucru se face prin suprascrierea notificării. Astfel veți completa din nou acel formular cu datele noi apărute.

Modalități de desemnare a responsabilului cu protecția datelor în România:

  • DPO-ul se poate numi fie intern (o persoana deja angajată a operatorului sau o persoană nou angajată) fie extern (angajarea unei persoane special pentru această funcție). Externalizarea funcției de responsabil cu protecția datelor poate fi făcută și către o firmă care oferă astfel de servicii. Acest demers se face printr-un contract de prestări servicii.
  • Dacă se numește un DPO intern atunci, în general acest lucru se face prin desemnarea unei persoane prin cumul de funcții. Această numire se face prin modificarea fișei postului prin adăugarea de atribuții și responsabilități specifice.
  • Chiar dacă un operator nu se află în situația de a fi obligat să numească un responsabil cu protecția datelor, regulamentul trebuie respectat. În acest caz se poate desemna intern o persoană, fără a notifica ANSPDCP, care să aibă atribuții în implementarea prevederilor regulamentului gdpr.

Conflictele de interese în desemnarea unui responsabil cu protecția datelor

Atunci când numim un DPO sau Responsabil cu protecția datelor, în primul rând trebuie să avem în vedere conflictul de interese. Dacă responsabilul cu protecția datelor îndeplinește și altă funcție, aceasta din urmă nu trebuie să fie una de conducere.  Potrivit art. 38, alin. (3) RGPD, Operatorul se asigură că responsabilul cu protecția datelor nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea acestor sarcini.

Nici un șef de serviciu, compartiment sau membru al echipei manageriale nu poate, în temeiul vreunui regulament intern de organizare și funcționare să dea dispoziții DPO în ceea ce privește exercitarea atribuțiilor sale.

Astfel ar putea apărea situația în care, în calitate de DPO, persoana în cauză ar trebui să analizeze o situație apărută în urma unei decizii luate de aceeași persoană, dar în exercitarea funcției de conducere.

Mai jos vom exemplifica câteva situații în care apare conflictul de interese în numirea unui DPO:

  1. Administrator sau director general: apare un conflict de interese general, având în vedere și puterea decizională generală cu privire la activitatea unei societăți).
  2. director financiar: acesta ar putea influenta decizia de a aproba finanțarea unor sau a tuturor măsurilor specifice și necesare pentru conformarea cu cerințele stabilite de legislația privind protecția datelor.
  3. Director sau șef birou resurse umane: poate să influențeze mecanismele de prelucrare a datelor angajaților, foștilor angajați, sau a potențialilor angajați.
  4. Directorul de marketing: poate să influențeze mecanismele de prelucrare a datelor clienților în activitatea de marketing.

Fișa postului a responsabilului cu protecția datelor

După ce ați identificat necesitatea numirii unu DPO, ați făcut numirea printr-o decizie și ați notificat Autoritatea, urmează să întocmiți fișa postului.

Dacă ați numit o persoană care are si alte atribuții, atunci este necesară o actualizarea a fișei postului. În cazul în care persoana desemnată îndeplinește doar funcția de DPO, fișa postului este de sine stătătoare.

Articolul 39 alin. (1), lit. a-e) RGPD prevede explicit un minim al sarcinilor responsabilului cu protecția datelor, însă cu caracter principial și sintetic.

În întocmirea fișei de post veți avea în vedere următoarele aspecte:

  1. Responsabilul cu protecția datelor răspunde față de management, conducere
  2. Atribuțiile: Informarea şi consilierea, monitorizarea respectării prevederilor Regulamentului, furnizarea de consiliere la cerere, cooperarea cu autoritatea de supraveghere, asumarea rolului de punct de contact pentru autoritatea de supraveghere etc.
  3. Responsabilități: păstrează secretul sau confidențialitatea,
  4. Implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal
  5. Răspunde de îmbunătățirea permanentă a pregătirii sale profesionale
  6. Folosește timpul de muncă exclusiv pentru îndeplinirea sarcinilor de serviciu

Mai jos aveți un exemplu de Fișă de post a responsabilului cu protecția datelor în format editabil. Vă rog să rețineți că pentru a putea avea acces la documente este nevoie să fiți înregistrați și logați în Comunitatea DPO.

Pentru a descărca un model de ”Fișă de post a responsabilului cu protecția datelor” este nevoie să vă înscrieți aici GRATUIT în Comunitatea DPO.

Model Fișă de post a responsabilului cu protecția datelor: https://gdprcomplet.ro/documente-sectiunea-dpo/